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© Verfahren zum authentischen Booten und Testen der Integritat von Software auf PC-Architekturen 

(§) Es wird ein Verfahren zum authentischen Booten und 
Testen von Software auf PC-Architekturen vorgeschlagen, 
welches ohne nennenswerte Komfortetnbu&en fur den Be- 
nutzer die Integritat des Systems beim 8ooten uberpruft. Als 
authentische, durch Software nicht manipuJierbare Basis- 
komponente fur das authentische Booten dient der in jedem 
PC vorhandene Ein-Chip-Mikrokontrollbaustein UPI. Dieser 
wird benutzt, um einen geheimen Schlussel aufzunehmen 
und vor unsutorisiertem Zu griff zu verbergen. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren zum authenti- 
schen Booten und Tcsten der Integritat von Software 
auf PC-Architekturen. 5 

Der Benutzer eines Informationstechnologie-Systems 
geht Qblicherweise davon aus, daB die Funktionalitat 
der benutzten Komponenten ihrer Spezifikation ent- 
spricht Dabei vertraut er auf die Zuverlassigkeit der 
Hersteiler von Hardware und Software. Ein Informa- to 
tionstechnoIogie-System eines vertrauenswurdigen 
Herstellers ist nur dann vertrauenswOrdig, wenn die 
Hardware nicht manipuliert wurde und das System von 
einem authentischen Betriebssystem eines ebenfalls ver- 
trauenswilrdigen Herstellers gesteucrt wird. Geht man 15 
von einer nicht mantpulierten Hardware aus. so muBdas 
Betriebssystem so gestartet werden, dafl seine Authenti- 
zitat vor dem Start Uberpruf t wird. 

Diese Vorgehensweise wird^authentischesBopten ge- 
nannt(vgLGroB, Michael: ^£r^uens^ 20 
als Grundlage authentischer i^asissystemeT, in: Pfitz- 
mann A.; Raubold E^HrsgO: VIS '91 -Vofla&ncho Infor- 
mationssysteme , \ Proceedings (Informatik Fachberichte 
271), S. 1 90—207, Springer, M&rz 1992). 

Authentisches Booten muB sich letztlich auf eine nicht 25 
manipulierbare Systemkomponente abstutzen. Dies 
sollte ein Teil der Hardware sein, dessen Integritat gesi- 
chert ist. Nach dem authentischen Booten kann das Be- 
triebssystem dazu benutzt werden, die Integritat von 
anderen Programmen zu uberprufen (z. B. mit krypto- 30 
graphisch abgesicherten PrOfsummen). Ein derartiges 
Vorgehen ist beispieisweise aus: Herda, Siegfried: "Chif- 
frier- und Signaturverfahren w f Tutoriumsband"VeriaBIi- 
che Informauonssysteme'*, Deutsche Informatik Akade- 
mie, Bonn, 1991 bekannt 35 

Dieser integere Zustand bleibt haufig nicht lange be- 
stehen. Wird beispieisweise ein neues Programm einge- 
spielt und gestartet, dessen Herkunft unbekannt ist, so 
ist die Systemintegritat unter Umstanden nicht mehr 
gew&hrleistet. Insbesondere bei PC's, deren hauptsach- 40 
lich verwendete Betriebssysteme keinerlei Schutzme- 
chanismcn (MS-DOS) oder wenig Schutzmechanismen 
(OS/2) bieten, k5nnen beiiebige Prozesse unautorisiert 
Anderungen an installierter Software vornehmen. Dies 
ist ein Hauptgrund, warurn der Virenproblematik auf 45 
PC's so schwer wirkungs voll zu begegnen ist Viren k6n- 
nen auf PC's nicht nur Anwendungsprogramme infizie- 
ren, sondern auch das Be^ebssystem selbst manipuUe- 
ren. 

Dies fuhrt dazu, daB einerseits VirenschutzmaBnah- 50 
men vereitelt werden k6nnen (z. B. durch als Tarnkap- 
penviren bekannte Viren), andererseits die Virenaus- 
breitung auch nach einem kompletten Rticksetzen (Re- 
set) und Neustarten des Rechners u. U. weiter statt fin- 
det, selbst wenn danach kein virenverseuchtes Anwen- 55 
dungsprogramm gestartet wurde. 

Tarnkappenyiren installieren sich resident im Haupt- 
speicher undieiten die BIOS- und DOS-Funktionen zum 
Festplattenzugriff auf sich* urn. liest ein Virenschutzpro- 
gramm eine l^grammdatei oder den Boot-Sektor, um eo 
einen Virus zu finden, so "rUtert" der Virus seinen Code 
beim Lesen selbst aus, so daB immer nur die Originalda- 
teien gelesen werden und der Virus nicht bemerkt wird. 

Gerade im Hinblick auf die Virenproblematik auf 
PC's ist also ein authentisches Booten notwendig, das 65 
Integritatsverletzuhgen meidet Dadurch wird zwar eine 
Virenausbreitung nicht verhindert, aber diese immerhin 
dem Benutzer bekannt gemacht Da die meisten Viren 



Schadensfunktionen "zei^erzd^eart \ai^ahreiv hat der 
Benutzer im allgemeihenrdie ' M6g GegenmaB- 
nahmen zu treffen. tevor die Sctedensfunktion ausge- 
fuhrt wird. 

Eine Mdglichkeit, ein authentisches System zu boo- 
ten, besteht bei PC's darin, das Betriebssystem immer 
von einer schreibgeschutzten nicht manipulierten Origi- 
nal-Systemdiskette zu booten oder einen Betriebssy- 
stem-Integritatstest im ROM abzulegen. Beide Lftsun- 
gen bringen Komfortverluste fur den Anwender mit 
sich. Das Booten von Diskette dauert z. B. bei MS-DOS 
schon recht lange, bei OS/2 ZO ben6tigt man zum Boo- 
ten sogar zwei Disketten, mit denen der Systemstart 
etliche Minuten dauert. Die ROM-L5sung bringt Pro- 
bleme bezQgiich einer mangelnden Flexibilitat gegen- 
fiber ^ersiions^demn^ mit sich. 

Aufgabe der. ErSr^n^ist «, ein Verfahren zum au- 
mentischeir Booten und Testen von Software auf PC- 
Architekturen anzugeben, durch das auf herkdmmii- 
chen PC-Architekturen ein authentisches Booten mit 
integriertem Software-Integritatstest m6glich ist, ohne 
daB damit die genannten Nachteile verbunden sind. 

Diese Aufgabe wird erfindungsgemaB durch ein Ver- 
fahren gelfist, das die Merkmale des Anspruchs 1 auf- 
weist 

Bei diesem Verfahren wird eine kollisionsfreie Ein- 
weg-Hashfunktion angewendet, die in einem in einer 
PC:Arx^telrtur, vprtondenen Universal Peripherie 
SctoimteU&^ ist. 

We^fere#ws^nt mvB sich [ authentisches Booten 
letztlich auf einem integeren, durch Software nicht ma* 
nipulierbaren Hardwarebaustein absttttzen. Ein solcher 
Baustein kann eine geheime Information enthalten, auf 
die sich eine Kette von Integrit&tstests abstatzt, die zum 
Start ernes .authentischen Betriebssystems fQhrt. 
*" fei; gehaiier Betrachtung der PC-Architektur findet 
man in j^dem PC eiiien Baustein, der aile hier ndtigen 
Eigenscharten ■ auiweist — den UPI. Der UPI ist ein 
SchnittsteUenbausteiii, der einen kompletten, Mikro- 
computer (Prozessor, Rp^,RAM,rraktg^ 
halt Er wird vorwiegead ais ihteliijgente S^ittstelle far 
die Tastatur und far die sichere TJnterscheidung zwi- 
schen Kalt- und Warmstart verwendet. Im Programm- 
speicher des UPI ist genug Platz, um eine aber einen 
geheimen SchlOssel (im folgenden UPI-SchlOssel ge- 
nannt) parametrisierte Einwegfunktion unterzubringen, 
die als Ausgangspunkt einer Kette von Integrit&tspra- 
fungen dienea kanru 

Vorteilhalte Ausgestaltungen der Erfindung sind Ge- 
genstand von UnteransprOchen. 

Danach erfolgt der Integritatstest in mehreren Stuf en. 
Durch diese MaBnahme kann die hohe Flexibilitat einer 
Disketten-Ldsung und der Komfort und die Sicherheit 
einer ROM-Losung miteinander kombiniert werden. 
Das Vorgehen in Stufen stellt sicher, daB kein Code 
ausgefahrt wird, der nicht entweder unver&nderbar im 
ROM liegt oder vor seiner Ausfuhrung hinsichtlich sei- 
ner Integritat getestet wurde. 

Um den Mifibrauch der Einwegfunktion durch ein 
nicht autorisiertes Programm (z. B. einen Virus) auszu- 
schlieSen, kann der Zugriff auf diese Funktion nach ih- 
rer Verwendung durch das autorisierte Programm ab- 
geschaltet und erst bei einem Kaltstart wieder etnge- 
schaltet werden. Die Kaltstart-Erkennung im UPI ist 
aufgrund der Hardware-Beschaltung zuverlassig und 
nicht umgehbar. 

Wenn eine spezieUe SpeicherzeUe (Security-Bit) im 
UPI programmiert wird, ist der Inhalt des UPI-Pro- 
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grammspeichers selbst nach dem Ausldten des Bau- 
steins vor Auslesen geschutzt (INTEL: UPI — 41, 42 — 
Universal Peripheral Interface 8-Bit Slave Microcont- 
roller 1 ', Datenbiatt, Intel Corporation, Santa Clara, CA, 
1989, Seiten 9—54 bis 9—60, insbesondere Seite 9-60, 
Absatz: Security Bit). Damit kdnnte der UPI-SchlOssel 
in alien PC's identisch sein, ohne dafi dadurch die Sicher- 
heit eingeschrtnkt wird Ein Ennitteln des UPI-SchlQs- 
sels durch eine Beobachtung der ftommunikation mit 
dem UPI ist bei einer geeigneten Auswahl der Einweg- 
funktion nicht mogUc^ Simmons, 
Gustavus J j "^ngcmporitry ^ iQyptplogy — The Science 
of Informatidn^tegnt^ IEEE^fresSj Piscataway, NJ, 
1992). 

Das Verfahren weist insbesondere die Vorteile auf t 
daB keine H^dw^eer^eitertogea der PC-Architektur 
und auch keine Anderungen am Betriebssystem not- 
wendig sindDie oben bescnriebenen Nachteile werden 
vermieden. 

Kollisionsfreie Einweg-Hashfunktionen sind in: Burk, 
Holger: "Hashfunktionen in der Praxis der Datensiche- 
rung* Beth, T.; Horster, P~ 'DATASAFE '91, Tagungs- 
band', Seiten 189 bis 198, VDE-Verlag, Berlin, 1991 na- 
il erbeschrieben, 

Inwieweit man mit kryptographischen Methoden Vi- 
ren erkennen kann ist von Beutelspac^cr, Aibrecht; Ro- 
senbaum, Ute: "Kann man mit fcr^&gra^^ 
thoden Viren erkennen?", in Pau£ : NL (Hr^:^ — ji* 
Jahrestagung I\ Proceedings, Informatik Fachberichte 
222, Seiten 564 bis 577, Springer, 1989 beschrieben. 
Hieraus ist insbesondere der Begriff MAC (Message 
Authentication Code) bekannt, der in der weiteren Be- 
schreibung verwendet wird 

Die Methode der Software- Versiegelung mit krypto- 
graphischen Methoden ist beispielsweise aus: Hueske, 
Thomas; Pfau, Axel: "Software- Versiegelung mit kryp- 
tographischen Methoden", Datenschutz und Datensi- 
cherung, Jg. 90, Nr. 6, Seiten 298 bis 304, Juni 1990 be- 
kannt 

Machfolgend wird ein Ausfuhrungsbeispiel der Erfin- 
dung anhand einer Zeichnung n&her er&utert Es zeigen 

Fig. 1 ein Struktogramm mit einem Ablauf des Sy- 
stemstarts mit Integritatstest gemiB der Erfindung, 

Rg. 2 einen.ersten Imegrit&tstest mit UPI beim Ab- 
lauf nach Fig. 1, 

Fig. 3 einen zweiten Integritatstest einer Security- 
Partition beim Ablauf nach Fig. 1, 

Fig. 4 einen Lageplan mit Interaktionspfeilen von ein- 
zelnen beteiligten Komponenten beim Ablauf nach 
Fig.l. 

Als Grundlage fur die Beschreibung wird eine PC-Ar- 
chitektur mit einem allgemein bekannten Betriebssy- 
stem wie zum Beispiei das MS-DOS- oder das OS/2-Be- 
triebssystem angenommen. PC-Architekturen weisen 
einen Prozessor auf, der alle notigen Eigenschaften ei- 
ner Chipkarte aufweist Mit einer Chipkarte kann ver- 
hindert werden, daB eine Einwegfunktion von einem 
Virus mi&braucht werden kann. Mit einer Chipkarte 
kann ein Hash-Wert beim Anwender verschlusselt und 
bei jedem Test entschlusselt werden. Der Nachteil der 60 
Chipkarte oder auch einer Magnetkarte oder einer Dis- 
kette, beispielsweise ist, daB der Datentr&ger mit der 
iSnwegfunkrion nur bei Ablauf des Prufprogramms ein- 
gesteckt sein darf und nach dem Test zuveri&ssig ent- 
nommen werden iriuB.sohst kdnnte der Virus auch von 65 
der Einwegfunktion Gebrauch machen. 

Bei dem Prozessor handelt es sich urn einen Universal 
Peripherie Schnittstellenbaustein (Universal Peripheral 
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Interface UPI), der vorwiegend als intelligente Schnitt- 
stelle fur die Tastatur und fur die sichere Unterschei- 
dung zwischen einem Kalt- und einem Warmstart ver- 
wendet wird 

5 Im Programmspeicher des UPI ist genug Platz, urn 
eine Einwegfunktion unterzubringen. Um den MiB- 
brauch durch einen Virus auszuschlieBen, kann der Zu- 
griff auf diese Funktion nach ihrer yerwendimg ^ge^ 
schaitet und erst bei einem Kaltstart vwe^er 'eihgeschai- 
io tet werden. Wenn eine spezielle SpeicherzeUeXSeairi 
Bit) im UPI programmiert wifd^ist selbst nach; dem 
Ausldten des Bausteins ein Auslesen des UPI-Pro- 
gramms nicht mehr mdglich. Damit kann die Einweg- 
funktion in alien PC-Architekturen identisch sein ohne 
is daB dadurch die Sicherheit eingeschrankt wird Durch 
die sichere Abschaltbarkeit des Algorithmus im UPI 
kann kein Vergessen einer Chipkarte oder Diskette Pro- 
bleme mehr bereiten. 

Es ware denkbar, daB bei immer gieicher VerschJus- 
20 selung im UPI ein Angreifer auf einem anderen PC eine 
Signatur zu einer manipulierten Hash-Datei berechnet 
und dann bei der Vireninfektion 0bertr§gt Aus diesem 
Grund wird bei der Hash-Wert-Ermittlung eine indivi- 
duelle (z. R. von den Konfigurationsmerkmalen des PC 
25 abhangige) Seriennummer als ein Hash-Startwert ver- 
wendet. Dadurch sind die Signaturen auch bei gleichen 
Programmen auf jedem PC verschieden. 

Die yer^lasselung,des,Hash r Wertes kann auch mit 
seiner ^WkUung zusammengeiegt werden. Dadurch 
30 kann auf feme nachtrlg^ verzichtet 
weixlen unidio^e'UPB^weg nur zum Erzeugen 

eines "geheimen SehlQsstls" verwendet werden. Dieser 
Schlfissel kann dann noch verwendet werden, nachdem 
die UPI-Funktion abgeschaltet worden ist. Dabei wird 
35 nicht der Hash-Wert verschlusselt sondern ein "gehei- 
mer Schlfissel* — der durch Verschlusselung einer Se- 
riennummer gebildet wurde — als Hash-Startwert ver- 
wendet 

Als Grundlage fur die weitere Beschreibung wird eine 
40 PGrArchkekturt mit einem allgemein bekannten Be- 
tri ebssysteur wie zum Beispiei das MS-DOS- oder das 
QS/2-femebssystem angenommen. 

Bevor der Ablauf beim Booten n&her erl&utert wird, 
werden die MaBnahmen beschrieben, die notwendig 
45 sind, um das Schutzsystem in der PC-Architektur zu 
installieren. Dazu sind in einem Basis-Ein-Ausgabe-Sy- 
stem in einem Festwertspeicher (Read Only Memory- 
Basic Input Output System ROM-BIOS) das BIOS und 
das UPI-Programm zu erweitern und eine Spezial-Parti- 
50 tion (Security-Partition) so wie ein Testprogramm als 
Geratetreiber neu zu erstelleru Eine Partition ist ein 
Einteilungsbereich einer Festplatte, innerhalb dem der 
Code von Software gespeichert ist 

Das BIOS rauB um folgende Funktionen erweitert 



— Test (und eventuell Neuermittlung und Abspei- 
cherung der Signatur einer Urtaders (Partition 
Loader), 

— Test (und eventuell Neuermittlung und Abspei- 
cherung der Signatur) der Speziai-Partition, 

— Nutzung der Verschlttsselungsfunktion (Einweg- 
funktion) imUPL 

— Abschaltung der VerschlQsselungsfunktion im 
UPI 

— Ablage eines "geheimen Schlussels" im Haupt- 
speicher, damit auch nach Abschaltung der UPI- 
Verschlusselungsfunktion noch (von der Spezial- 
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Partition aus) cine symmetrische Verschlusselung 
durchgefuhrt werden kann. 

Das UPI-Programm muB urn eine VerschlOsselungs- 
funktion erweitert werden, die mir zwischen Kaltstart 5 
und Abschaltung durch das BIOS arbeitet. Dazu sind 
folgende Programmteile zu implementieren: 

— Verschlflsselungsalgorithmus (Einwegfunktion), 
der nur arbeitet, wenn ein bestimmtes Byte in ei- 10 
nem UPI-RAM gesetzt ist, 

— Verwaltung ernes Bytes im UPI-RAM (Setzen 
beim Kaltstart (Reset), Rucksetzen auf BIOS-Be- 
fehU 

— Funktion zum Datentransfer zwischen UPI und 15 
Hauptprozessor, 

— Anderungen an bereits vorhandenen Funktio- 
nen, mit denen das Byte urn UPI-RAM rOcksetzbar 
ware. 

20 

Das eigentliche Testprpgramm liegt auf einer extra 
Partition, der Seomty-P^ Diese Partition kann 
keine primare"{^tflihlge) DOS- oder OS/2-Partition 
sein, da MS-DOS und OS/2 nur eine primare DOS- oder 
OS/2- Partition erlauben und diese selbst benotigen. Aus 25 
diesem Grund muQ ein eigenes einf aches Dateisystem 
und ein eigenes kleines Betriebssystem installiert wer- 
den. 

FQr die Spezial-Partition sind folgende Teile no tig: 

30 

— Minimal-Betriebssystem mit Programm-Lade- 
routine, 

— Pat^isystem-TreAber (fur die zu prufenden Parti- 
Itiqnen); 

-^'^mh^jdet'^lg^m Dateien (mit Hilfe des "ge- 35 
beimen^^ussels^; 

— (Op^on^e'r Bt^t-Maxi^er^ mit dem die Parti- 
von ausgewahlt wird, von der das Betriebssystem 
gestartet wird), 

•f-Triifung der verand^^ des zu testen- 40 

den Bet^ Beispiei Boot-Sektor und 

zujgeh6rige Kohfiguradons-Datei CONHGSYS 
(mit Hiife des "geheimen ^Massels"), 

— ein sogenannter RSA-Signaturtest (RSA steht 
fQr das Rivest-Shamier-Adleman-Verfahren, siehe 45 
GroB, Michael "Vertrauenswurdiges Booten 

Seite 194) einer Hash-Datei C: /SECUITY-DAT, 

— Prufung von Betriebssystem und Programmen 
(alle Dateien , die in SECURTTY.DAT mit ihren 
Hash- Werten verzeichnet smd) und fur jede EXE- 50 
Datei ein Test, ob eine neue gleichnamige COM- 
Datei existiert, 

— Ldschen des "geheimen Schlusseis" aus dem 
Hnuptspeicher, 

— Starten des Betriebssystems (MS-DOS oder OS/ 55 
2V 

Sind in dem zu testenden System weitere Datentrft- 
ger, die nur mit einem Geratetreiber (in CONFIGSYS) 
ansprechbar sind (z. B. eine High Performance File Sy- 6c 
stem-Partition HPFS-Partition), so kann nach dem La- 
den des Betriebssystems und der Treiber ein weiteres 
Prufprogramm gestartet werden. Dieses Prflfprogramm 
kann von CONFIGSYS aus in Form eines Geratetrei- 
bers oder als nonriale Programm-Datei gestartet wer- 65 
den. Durch die vorher ausgefOhrten Prttfstufen ist si- 
chcrgestellt, daB Betriebssystem, CONFIG-SYS und das 
Pruf programm integer sind. 
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Der Ablauf beim Booten erfolgt in mehreren Schrit- 
ten: 

1. Ein im ROM-BIOS integrierter Integritatstest 
pruft nach dem Kaltstart die Integrity des Parti- 
:dpnstl^dto<und; Teile e^e^^zum ■ Kdnzept gehd- 
: rend|&)S^ 

2^D&;Pr^'ro^^ te- 
stet v6r dem:Start des ^tn die Integri- 

ty von Boot-Sektor, Betriebssystem und anderen 
wichtigen ausfuhrbaren Dateien. 
3. Ein weiteres Prufprogramm testet nach dem 
Start des Betriebssystems (z. B. als fiber die Datei 
CONFIG-SYS in das Betriebssystem eingebunde- 
ner Geratetreiber) die Integrit&t von Dateien auf 
weiteren Datentragern, die nur mit Hilfe des Be- 
triebssystems oder Geratetreibern ansprechbar 
sind (z. B. HPFS-Partitionen bei OS/2). 

Fig. 1 zeigt den Ablauf beim Booten einschlieBlich 
des Software-Integritatstests in Form eines Strukto- 
gramms. Die gegenuber dem normal en Bootvorgang 
neu hinzugekommenen Teile sind strichpunktiert einge- 
rahmt Die Funktionen, die durch Programme auf der 
Security-Partition realisiert werden, sind mit einem ge- 
strichelten Rahmen gekennzeichnet Nachfolgend wird 
der Ablauf im einzelnen eriautert: 

Nach dem Kaltstart initialisiert und testet der POST 
(Power On Self Test) des BIOS die Hardware. Anschlie- 
Bend werden Optionen-ROM's (z. B. mit SCSI-Treiber 
gesucht und eingebunden. 

Nun kommt die BIOS-Erweiterung zum Integritats- 
test des Partitions- Laders und der Spezial-Partition zur 
Ausfuhrung. Zunachst wird mit Hilfe des UPI Oberpruft, 
ob ein Kaltstart vorliegt Das ist n&tig, da die spater 
benotigte Einweg-Funktion im UPI nach einem Kalt- 
start aktiv ist. Es wird nun der Parti tions-Lader gelesen 
und mit Hilfe einer kryptographischen Hash- Funktion 
ein eindeutiges Kondensat (Hash- Wert) abgeleitet Die- 
ser Hash-Wert wird durch den UPI verschlusselt und 
mit dem Sollwert verglichen, der an einer bestimmten 
Stelle auf der Security-Partition abgespeichert ist. Diese 
Werte werden mit MAC (Message Authentication Co- 
de) bezeichnet Auf die gleiche Weise wird das Pro- 
gramm auf der Securily-Partition getestet Die dafQr 
nQtigen Dat^ und Lange des zu testen- 

den Se^curiry;Prpgramms) sind im ersten Sektor (Boot- 
Sektor) der Security-Partitibn gespcichert. 

Fig. 2 zeigt den mit Hilfe des UPI ablaufenden ersten 
Integritatstest in graphischer Form. 

Stimmt der MAC-Istwert mit dem gespeicherten 
MAC-Sollwert nicht fiberein (z.B. beim ersten Pro- 
grammlauf nach der Installation oder bei Virenbef all) so 
erhait der Anwender eine Meldung. Beim ersten Pro- 
grammlauf kann der Anwender (z. B. nach Angabe eines 
PaBwortes) die neu ermittelten MAC- Werte authentift- 
zieren lund dann abspeichern lassen. Treten bei einem 
splteren FYogrammlai^ auf, so liegt eine 

Int^gfitktsyerl^tzung (z.;B. Virenbefall) vor. In diesem 
Fall konnen die ver&nderten Teile von einer Sicherungs- 
diskette restauriert werden. 

liegt keine Diskette in Laufwerk A, wird eine Serien- 
nummer (die z. B. aus der Hardware-Konfiguration des 
PCs abgeleitet wird) im UPI verschlusselt und als zu 
diesem PC gehdriger geheimer Schlussel im Hauptspei- 
cher abgeiegt Dann wird die Verschlusselungsfunktion 
des UPI abgeschaltet Sie wird erst wicdex durch einen 
Kaltstart hardwaremafiig eingeschaltet 
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Jetzt ladt wie gewohnt das BIOS den standardm&fii- 
gen Parti tions-Lader von der Festplatte und startet sei- 
nen Code. Der Parti tions-Lader wiederum l&dt und star- 
tet den Boot-Sektor der Security-Partition. Der zweite 
Imegritatstest beginnt Der Boot-Sektor ladt und startet 5 
das Security- Programm von der Security-Partition. Das 
Security- Programm ermittelt wieder mit einer Hash- 
Funktion den Hash- Wert der Daten auf der Security- 
Parthion. Dieser Wert wird dann mit einer durch den 
vom BIOS abgelegten geheimen Schlussel parametri- 10 
sierten Einwegfunktion verschlilsselt und mit dem e ben- 
falls in der Security- Partition abgespeicherten MAC- 
SoIIwert verglichen (siehe Fig- 3). Damit wurde die Inte- 
grity der Security-Partition Qberpruft 

Die Daten auf der Security-Partition umfassen z. B. 15 
die MAC-Werte von veranderbaren Betriebssystem- 
Teilen (Boot-Sektor und CONFIG5YS), die Pfadanga- 
ben von Hash-Dateien verschiedener Programmpakete, 
die vom Hersteller mitgeliefert werden sollten, sowie 
Hash-Werte von Programmen, die ohne Signaturdatei 20 
geliefert wurderu 

Der geheime Schlussel im Hauptspeicher wird nun 
nicht mehr bendtigt und daher geldscht Die weiteren 
auszufuhrenden Integritatstests arbeiten mit asymme- 
trischen kryptographischen Verfahren. 2s 

Auf der zu prttfenden Betriebssystem-Pardtion befin- 
det sich die Hash-Datei C:/SECURITY£>AT t die Na- 
rnen, Pfad und Hash-Werte aller zu testenden Pro- 
grammdateien enthalt Sie wird vom Betriebssystem- 
hersteller (oder -handler) erstellt, mit einer Signatur ver- 30 
sehen und mitgeliefert. Die Signaturen werden mit ei- 
nem asymmetrischen kryptographischen Verfahren 
(z. B. RSA) erzeugt und verifiziert. Der zur Verifikation 
der Signatur der Datei notwendige dffentliche Schlussel 
ist auf der bereits getesteten Security-Partition abgelegt 15 
und daher nicht manipuliert worden. Ergibt diese Uber- 
prufung der Signatur, daS die Datei authentisch ist, so 
werden alle darin angegebenen Programmdateien Qber- 
pruft, indem ihr Hash-Wert ermittelt und mit dem in 
SECURITY JD AT verzeichneten verglichen wird. Durch 40 
diese Vorgehensweise wird eine sichere Software- Dist- 
ribution zwischen Hersteller und Kunden erreichL Auf 
die selbe Weise wird mit weiteren Hash-Dateien verfah- 
ren, deren Namen und Lage nach der Installation von 
neuen Programmpaketen in die Security-Daten aufge- 45 
nommen warden. Nach AbschluB dieser PrOfung wird 
der Boot-Sektor des Betriebssystems geladen und ge- 
startet und damit das Betricbssystem gebootet 

In der Korifigurationscfatei CONFIGSYS werden 
Geratetreiber geladen. Hier kann auch ein weiteres 50 
Prufprogramm angegeben sein, das dann (Shnlich wie 
das Programm auf der Security-Partition) Dateien auf 
anderen Datentragern, die nur mit Ger&tetreibern an- 
sprechbar sind (z. B. HPFS-Partitionen) uberpruft Jetzt 
wird die Benutzeroberflache wie gewohnt geladen. Alle 55 
Integritatsprufungen sind abgeschlossen und behindem 
den weiteren Rechnerbetrieb nicht 

Eine Abwandlung gegenuber den Ausfuhrungsfor- 
men gemafi der Fig. 2 und 3 besteht darin, mit der Ein- 
wegfunktion im UPI aus einer geratespezifischen Se- 60 
riennummer einen "geheimen Schlflssel" zur Parametri- 
sierung zu bilden und mit diesem Qber die Hash-Funk- 
tion den Hash-Wert zu ermitteln. 

Eine weitere Ausfuhrungsform ist, jeweils die Form 
gemafi der Fig, 2 und 3 mit der oben beschriebenen 65 
Moglichkeit zu kombinieren, das heiBt gleichzeitig bei- 
de Mogtichkeiten vorzusehen und dann eine jeweils ge- 
wQnschte MOglichkeit zu aktivieren. 



Fig. 4 zeigt noch einmal die Lage und Interaktion der 
einzelnen beteiligten Komponenten. Die durchgezoge- 
nen Pfeile stehen dabei fur ein Laden, die gestrichelten 
Pfeile stehen fQr ein Prufen und die gepunkteten Pfeile 
stehen fQr ein Daten lesen/schreiben. 

Die Bedeutungen der einzelnen mit Buchstaben be- 
zeichneten K&stchen ist folgende: 
A-Code fflr Test des Partition Loaders, 
B-Code fQr Test der Security Partition, 
C-Code zur Berechnung der Signaturen, 

i^Yefwaltung eihes Abschalt- Bytes, 

jE-HnwegfunWpn^ 

r^T^eime^^hijljser, 

:G^UhverandeiH:er ; Partition-lx)ader-Ck)de, 

H-Partition-Tabelle: Security Partition, 

I-Code-GroBe, 

j^S^cie^ 

KrBdot-Sektor; Raider; pQS-JEmi^atbr; 

WPi^^gr^mmuM 

M-Signatur- Daten, 

N-Betriebssystem-Boot-Sektor, 

O- Bet riebssyst em- Loader, Kernel, Treiber, 

P-CONFIG.SYS, 

Q-Signatur-Datei des Betriebssystems, 
R-weiteres Prinprogramm, 
S- Programme und Daten, 
T« Signatur- Dateien. 

Patentanspruche 

1. Verfahren zum authentischen Booten und Testen 
der Integritit von Software auf PC-Architekturen 
mit einem universaien Peripherie Schnittstellen- 
baustein (Universal Peripheral ^ Interface JJPIX un- 
ter Verwendung £in wj^ptographisch^ 
zeugungs- und -priu^ji^e^ einem 
symmetrischen Versiegelungsverfahren fQr eine 
Versiegelung der Software sowie unter Verwen- 
dung eines Bootvorganges, bei dem folgende 
Schritte ablaufen: 

— DurchfQhren eines Einschalt-Selbst-Testes 
(Power On Self Test, POST) in einem Basis- 
Ein-Ausgabe-System in einem Festwertspei- 
cher (Read Only Memory-Basic Input Output 
System, ROM-BIOS) 

— Laden und AusfOhren eines Urladers (Parti- 
tion-Loader) fur einen Code eines Einteilungs- 
bcreiches (Partition) einer Festplatte, inner- 
halb dem Software gespeichert ist, 

— Laden und AusfOhren eines Boot-Sektors 
einer Betiebssystem-Partition, 

— Laden und AusfOhren eines Laders (Loader) 
zum Laden und Starten eines Betriebssystems, 
und 

— Laden und Starten : eines] Betriebssystein- 
kerns (Kernel), wobei fih* die Siegelimeugiing 
und -prflfung eine im UPI fest etngebundene 
kollisionsfreie Einweg-Hashfunktion ange- 
wendet wird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, 

daB durch einen im ROM-BIOS integrierten ersten 
Integritatstester nach einem vom UPI erkannten 
Kaltstart und dem POST des ROM-BIOS die Inte- 
grity des Urladers und einer weiteren Sicherhehs- 
Panition (Security Partition) mit einenr zweiten to- 
tegritatstester auf der Festplatte unter Verwen- 
dung der im vorhandenen UPI integrierten Ein- 
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weg-Hashfunktion geprflft und beim Bootcn von 
der Festplattc cin auf : die Eiriwcg-Hashfunktion 
aufbauender gdieimer kayptographiscber Schltts- 
sel in einem S^ei^t&e^Spei«ier. (RAM) abge- 
legt und dann die Einweg-Hashfunktion abgeschal- 5 
tet wird und 

daB beim Kahstart mit Booten von der Festplatte 
vor dem Start des Betriebssystems durch den zwei- 

Zuhilfenahme d&% ;Ki^ 10 
kryptos^ 

wichtiger ausfuhrbarer Dateien geprflft and bei 
nicht mehr Benotigen des gehcimen Schlussels bei 15 
dieser Prilfung der geheime SchlQssel geldscht 
wird. 

3. Verfahren nach Anspruch % dadurch gekenn- 
zeichnet, daB nach dem Start des Betriebssystems 
durch einen weiteren Integritatstester die Integri- 20 
t£tt von Dateien auf weiteren Datentragern, die nur 
mit Hilfe des Betriebssystems oder zugehdrigen 
Gerfltetreibern ansprechbar sind, mit kryptogra- 
phischen Methoden geprflft wird 

4. Verfahren nach Anspruch 2 oder 3, dadurch ge* 25 
kennzeichnet, daB beim Aktivieren des zweiten In- 
tegrit&tstesters als erstes ein Minimalbetriebssy- 
stem geladen und gestartet wird 

5. Verfahren nach Anspruch 1 bis 4, dadurch ge- 
kennzeichnet, daB bei einer Hashfunktion zur Ab- 30 
teitung eines Hashwertes bei der Siegelerzeugung 
und -prufung zum Zweck der Parametrisierung ei- 
ne auf eine PC-Architektur bezogene Seriennum- 
mer berflcksichtigt wird 

6» Verfahren nach Anspruch 5, dadurch gekenn- 35 
zeichnet, daB aus der Seriennummer in Verbindung 
imit der/Hnwej^ im UPI ein "gehei- 

mer Schiussei" erzeugt wird mit dem fiber die 
Hashfunktion ein Hash- Wert abgeleitet wird 
7. Verfahren nach einem, der vorherigen Ansprfl- 40 
che, dadurch gekeiinzeichnet, daB bei der E>urch- 
funning der Einweg-HasMunktion eiri im l/PIinte- 
grierter gehetmerSchlOssfel berflcksichtigt wird 
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